Am Sonntag wurden rund 900.000 Telekomkunden Opfer eines Hackerangriffs. Die Folge war, dass diese Kunden keine Verbindung mehr zum Internet hatten. Bei dem Angriff wurde versucht, über eine Schwachstelle in das Fernwartungsprotokoll der Speedport-Router einzubrechen. Laut Telekom soll die Schadsoftware allerdings so schlecht programmiert gewesen sein, dass die Router zwar keine Internetverbindung aufbauen konnten, aber zum Glück auch keinen weiteren Schaden mehr anrichten konnten. Das Problem bestand nicht nur bei der Telekom! Über das Internet wurde großflächig versucht über den Port 7547 in die Router einzudringen.
Nachtrag 1. 12.: Wie inzwischen bekannt wurde, antworten die betroffenen
Router nicht auf die Anfragen über den Port 7547. Tatsächlich gab es zu
viele Anfragen für die Router, so dass diese aus den Tritt gekommen sind.
Es handelte sich damit um eine Distributed Denial of Service (DDoS) Attacke.
Auch unsere Admins haben die Zugriffe auf die Server bemerkt. Da unsere Server aber diese Art von Fernwartung nicht unterstützen, wurden die Angriffe zu keinem Problem für uns.
Wer davon betroffen ist, muss einfach nur den Router vom Strom trennen, etwas warten und ihn dann wieder mit Strom versorgen. Inzwischen liegt für Telekomkunden ein Update der betroffen Router vor, das nach einen Neustart automatisch installiert wird.
Das gilt doch nur für Telekom-Kunden oder?
Auch wenn man nicht betroffen war, sollte man dies nicht verharmlosen. Es ist unklar, was die Hacker mit den Einbruchsversuchen beabsichtigten. Aber vermutlich wurde versucht Geräte über das Internet zu kapern, um das eigene Botnet zu vergrößern.
Ein Botnet sind Hunderttausende (wenn nicht gar Millionen) von Geräten im Internet, die von Hackern praktisch in Besitz genommen worden sind. Über diese Botnetze kann man zum Beispiel weitere Geräte erobern, Spam versenden, Webseiten quasi abschalten (DDoS) und ähnliche “Spielereien”.
Bei der befallenen Technik muss es sich nicht zwangsläufig um Desktopcomputer handeln. Geräte wie Überwachungskameras oder Router sind in den letzten Monaten bei den profitorientierten Hackern recht beliebt geworden. Hier ist auch die Gefahr, entdeckt zu werden,weit geringer. Zusätzlich sind solche Geräte meistens weit schlechter geschützt, als ein Computer der ständig automatisch die letzten Updates installiert und durch Virenscanner etwas geschützt ist. Versuche haben gezeigt das es nur wenige Minuten dauert, nachdem man eine Sicherheitskamera ins Internet gestellt hat, dass diese Teil eines Botnetzes wird.
Wie kann man sich schützen?
Ein minimaler Schutz, der die meisten Einbruchversuche ins Leere laufen lässt, ist durch ein paar Maßnahmen zu erreichen:
Wenn man ein Gerät einrichtet, sollte man zuerst das Passwort und wenn es geht auch den Benutzernamen ändern. Dann sollte man prüfen ob es für das Gerät ein Update der Firmware gibt. Wenn dem so ist, dann sollte man sich dieses herunterladen und installieren. Wenn es das Gerät erlaubt, sollte man dann verhindern, dass jeder im Internet Zugriff auf das Gerät erhält.
Einige Geräte versuchen mit UPnP (Universal Plug and Play) im Router automatisch Internetzugriffe zuzulassen. Das ist zwar sehr bequem, aber öffnet eben auch sehr schnell Tür und Tor für Verbrecher.
Deshalb sollten man im Router prüfen, ob UPnP aktiviert ist und gegebenenfalls deaktivieren. Hat man diese Einstellung vorgenommen, kann das Gerät ohne Bedenken mit dem Internet verbunden werden. Wichtig ist, regelmäßig zu prüfen, ob ein Update vorliegt und dieses dann auch zu installieren. Genau hier liegt nämlich oft das Problem: Viele Router sind über Jahre im Betrieb, aber sehr schnell nachdem der Hersteller ein Nachfolgeprodukt herausgebracht hat, gibt es keine Sicherheitsupdates mehr für das “alte”. Bei einige Geräten gibt es keine Updates oder sogar nicht mal die Möglichkeit Updates einzuspielen.
Mehr zu diesem Thema finden Sie hier:
heise.de – Großstörung bei der Telekom
heise.de – DDoS-Attacke legt Twitter, Netflix, Paypal, Spotyfy und andere Dienste lahm
heise.de – 98 Sekunden bis zur Infektion